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20.12.00 Sy/Hx/Zj 

ROBERT BOSCH GMBH, 70442 Stuttgart 



Verfahren und Vorrichtung zur Uberwachung und Abschaltung 
von Steuereinheiten in einem Netzwerk und Netzwerk 

Stand der Technik 

Die Erfindung betrifft ein Verfahren und eine Vorrichtung 
zur Uberwachung von Steuereinheiten in einem Netzwerk sowie 
ein entsprechendes Netzwerk, wobei jede Steuereinheit eine 
Sicherheitsfunktion zur Erkennung von.Fehlern beinhaltet ge- 
mafi den Oberbegrif f en der unabhangigen Anspruche. 

Eine solche Oberwachung von Steuereinheiten in einem Netz- 
werk ist in der WO 90/09631 (US 5,499,336) beschrieben. Dar- 
in wird ein Verfahren zur Uberwachung eines Computernetz- 
werks mit mindestens zwei uber einen wenigstens zwei Leitun- 
gen umfassenden Datenbus verbundenen Teilnehmern, die je- 
weils ein Empfangs- und/oder ein Sendeteil aufweist, vorge- 
schlagen. Das Verfahren zeichnet sich dadurch aus, dass die 
Funktion des Datenbusses und/oder die Funktion der Teilneh- 
mer mit Hilfe von Fehlererkennungssignalen durch mindestens 
einen Teilnehmer iiberwacht und das auf den jeweiligen Feh- 
lerfall abgestimmte Notlaufmaiinahmen zur Einstellung von de- 
finierten Notlaufbetriebsarten ergriffen werden. Nach Er- 
greifung der ersten Notlaufmaflnahme wird geprlift, ob das 
Computernetzwerk fehlerfrei funktioniert . Wenn dies der Fall 
ist, wird die erste Notlaufmaftnahme auf rechterhalten und 
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auch damit die erreichte Notlaufbetriebsart . Sollten nach 
Eingreifen der ersten Notlaufmaflnahme weitere Fehler im Com- 
puternetzwer'k auftauchen, wird die erste Notlaufmaflnahme zu- 
riickgenommen und die zweite Notlaufmaftnahme ergriffen. Wenn 
nunmehr keine weiteren Fehler auftauchen, wird der durch 
diese Mafinahme eingestellte Notlaufbetrieb, der Sondernot- 
lauf aufrechterhalten. Erst wenn immer noch weitere Fehler 
auftauchen, werden die betrof f enen Teilnehmer oder das ge- 
samte Computernetzwerk abgeschaltet . Dabei ist der Einsatz 
einer Abschaltmatrix und damit einer dif f erenzierteren Ab- 
schaltung mit verschiedenen Abschaltstrategien nicht ge- 
zeigt . 

Daraus ergibt sich, dass bei einer Uberwachung von mehreren 
Steuereinheiten in einem Netzwerk, also einem verteilten Sy- 
stem, die oben beschriebene Situation dahingehend verbessert 
werden soli, dass eine dif f erenziertere Abschaltung einzel- 
ner Steuereinheiten oder des gesamten Systems durch Einsatz 
einer Abschaltmatrix realisiert werden soli. 

Vorteile der Erf indung - 

Dazu zeigt die Erfindung ein Verfahren und eine Vorrichtung 
zur Uberwachung von Steuereinheiten in einem Netzwerk sowie 
ein entsprechendes Netzwerk, wobei jede Steuereinheit eine 
Sicherheitsfunktion zur Erkennung von Fehlern beinhaltet und 
jedem Fehler eine Oberwachungsroutine zugeordnet ist, wobei 
eine Mehrzahl von Uberwachungsroutinen zur Verfiigung steht. 

Vorteilhafter Weise ist der Sicherheitsfunktion eine 'Ab- 
schaltmatrix zugeordnet, welche nach Fehlern unterteilt ist, 
wobei entsprechend der vorhandenen Fehler der Abschaltmatrix 
wenigstens eine der Uberwachungsroutinen abhangig von wenig- 
stens einer ersten Bedingung aus der Mehrzahl von Uberwa- 
chungsroutinen gewahlt wird, wobei die Abschaltmatrix ver- 
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schiedene Abschaltstrategien enthalt, wobei bei Erkennung 
wenigstens eines Fehlers durch die Oberwachungsroutine ab- 
h^ngig von wenigstens der ersten und/oder wenigstens einer 
zweiten Bedingung eine der Abschaltstrategien des Netzwerks 
ausgeftihrt wird, wobei wenigstens eine Steuereinheit im 
Netzwerk abgeschaltet wird. 

Weiterhin von Vorteil ist, dass die Erfindung eine Methode 
bereitstellt, urn in verteilten Systemen, insbesondere SCS 
(safety critical systems) eine Abschaltung, dif ferenziert 
insbesondere nach Fehlerursache, Betriebsart und Betriebszu- 
stand zu ermoglichen. 

So gestattet es die erf indungsgemafte Methode zweckmaMger- 
weise die Fehlererkennung auf verschiedene Steuereinheiten 
eines Netzwerks zu verteilen und eine Abschaltung entspre- 
chend der Abschaltmatrix insbesondere nach Fehler, Betriebs- 
art (Funktion) und/oder Betriebszustand von den verschiede- 
nen Steuereinheiten, insbesondere verteilt, durchfuhren zu 
lassen. 

Dabei wird vorteilhaf ter Weise als erste und/oder zweite Be- 
dingung zur Auswahl der jeweiligen Uberwachungsroutinen 
und/oder der entsprechenden Abschaltstrategien entweder eine 
Fehler kennung, eine Fehlerbeschreibung, eine Betriebsart 
(Funktion) , eih Betriebszustand, je nach Steuereinheit bzw. 
Steuereinheiten fur die Abschaltstrategie bzw. fiir die Ober- 
wachungsroutine, nach Fehlererkennungszeiten und/oder Anwen- 
dungstoleranzen bzw. Grenzen im Rahmen der Fehlererkennung 
ausgewahlt . 

Die genannte Sicherheitsf unktion lafit sich dabei zweckmafti- 
gerweise wenigstens in die Teilf unktionen . Sicherheitskern, 
Uberwachungsroutinen und Abschaltstrategien unterteilen, wo- 
bei der Sicherheitskern auf alien Steuergeraten des Netzwer- 
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kes gleich ist. Vorteilhaf ter Weise umfasst der Sicherheits- 
kern weiterhin wenigstens eine der Teilfunktionen Initial!- 
sierung, Fehlereintragung und Wiedergutprufung. 

In einer besonderen Ausgestaltung der • Erf indung beinhaltet 
eine Steuereinheit des Netzwerkes koordinierende Funktion 
fur alle anderen Steuereinheiten, wobei diese die zentrale 
Ausfiihrung beziiglich wenigstens einer der folgenden Teil- 
funktionen der Sicherheitsf unktion zentral fur das gesamte 
Netzwerk durchfiihrt oder steuert: Initialisierung, Feh- 
lereintragung, Wiedergutprufung . 

In einer weiteren besonderen Ausf lihrungsf orm beinhaltet jede 
Steuereinheit einen individuellen Pool von Uberwachungsrou- 
tinen, aus denen entsprechend der jeweils erkennbaren Fehler 
die Uberwachungsroutinen wahlbar sind, wobei dieser Pool 
bzw. diese Summe der Uberwachungsroutinen fiir jede Steuer- 
einheit unterschiedlich sind. Ebenso unterschiedlich sind in 
dieser besonderen Ausf lihrungsf orm die jeweiligen Abschaltma- 
trizen der einzelnen Steuereinheiten, womit die Uberwachung 
und die Abschaltstrategien verteilt auf alle Steuereinheiten 
des Netzwerkes durchgef tihrt werden. 

Neben der vollig verteilen Ausfuhrung der Uberwachung und 
Abschaltung wird in einer weiteren besonderen Ausfiihrungs- 
form der Pool der. Uberwachungsroutinen, also die Uberwa- 
chungsroutinen, die von jeder Steuereinheit wahlbar sind, 
sowie die jeweilig wahlbaren Abschaltmatrizen fur jede Steu- 
ereinheit gleich oder wenigstens teilweise gleich vorgege- 
ben, womit Uberwachung und Abschaltstrategien redundant oder 
wenigstens teilweise redundant durchfuhrbar sind. 

Damit ergibt sich vorteilhaf ter Weise nicht nur die Moglich- 
keit, dass die Steuereinheit, die den Fehler erkennt, eine . 
Abschaltung gemafi ihrer Moglichkeiten (Abschaltpfade, Ab- 
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schaltstrategien) durchfuhrt, sondern auch die anderen Steu- 
ereinheiten, die sich noch im Netz befinden, konnen eine Ab- 
schaltung entsprechend ihrer Moglichkeiten (mogliche Ab- 
. schaltstrategien, Abschaltpf ade) aufgrund der Fehlererken- 
5 nung der anfangs genannten Steuereinheit durchftihren. 

Weitere Vorteile und vorteilhafte Ausgestaltungen ergeben 
sich aus der Beschreibung und den Anspruchen. 

10 Zeichnung 

Im weiteren wird die Erfindung anhand der in der Zeichnung 
dargestellten Figuren naher erlautert. 

15 Dabei zeigt Figur 1 ein Netzwerk mit mehreren Steuereinhei- 

ten r welche uber ein Bussystem verbunden sind. 

Figur 2 zeigt beispielhaft fur drei Steuereinheiten die Si- 
cherheitsfunktion, insbesondere als Sicherheitssoftware SIS. 

20 

Figur 3 zeigt beispielhaft eine erf indungsgemafle Abschaltiaa- 
trix zur Ermittlung der jeweiligen Abschaltstrategie . 

Beschreibung der Ausf uhrungsbeispiele 

It, , ' 

Figur 1 zeigt ein Netzwerk 108 mit Steuereinheiten SEl bis 
SEn 101 bis 103, welche uber ein Bussystem 100 miteinander 
verbunden sind. Das Bussystem 100 kann dabei aus einem ein- 
zelnen Bus, beispielsweise einer Zweidrahtleitung, ebenso 

30 wie aus mehreren redundanten und/oder teilweise redundanten . 

i 

Datenbusen bestehen. Die Steuereinheiten, beispielsweise 
SEl, 101 beinhalten wenigstens einen Datenspeicher, in wel- 
chen Steuerdaten bzw. Steuerprogramme entsprechend der Steu- 
eraufgabe der jeweiligen Steuereinheit ebenso wie erfin- 
35 dungsgemafie Sicherheitssoftware SIS abgelegt ist. Daneben 
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kann zu diesem Zweck auch ein externes Speicherelement 104 
uber das Bussystem 100 angekoppelt Verwendung finden. Des- 
weiteren sind am Datenbussystem 100 anzusteuernde Elemente 
105, wie beispielsweise Aktuatoren oder Sensoren anbindbar. 
Solche Aktuatoren oder Sensoren insbesondere im Rahmen der 
Steuerauf gabe des jeweiligen Steuergerates bzw. der jeweili- 
gen Steuereinheit konnen gleichermaften wie fur Steuereinheit 
SE2 , 102 dargestellt, an diese direkt und nicht liber Daten- 
bussystem 100 angekoppelt werden, wie dies fur ein beispiel- 
haftes Sensorelement 106 sowie ein beispielhaf tes Aktuato- 
relement 107 dargestellt ist. Die in der dargestellten Sen- 
sorankopplung bzw. Aktuatorankopplung verwendeten Doppel- 
pfeile ebenso wie die Ankoppelpf eile an das Datenbussystem 
sollen durch ihre Bidirektionalitat lediglich auf die ent- 
sprechenden Moglichkeiten hinweisen. Selbstverstandlich ist 
gerade bei einer direkten Ankopplung der Elemente 106 und 
107 an die Steuereinheit. SE2 auch eine unidirektionale Ver- 
bindung beispielsweise vom Sensor 106 zur Steuereinheit SE2 
bzw. von der Steuereinheit SE2 zum Aktuator 107 denkbar und 
moglich. Vor allem bei intelligenten Elementen 106 und 107 
ist eine bidirektionale Anwendung denkbar. 

Da die gezeigten Elemente 101 bis 105 bzw. 106 und 107 ort- 
lich verteilt je nach Anwendung angeordnet sind spricht man 
bei Netzwerk 108 auch von einem verteilten System bzw. ver- 
teilten Systemen. Ein solches verteiltes System bzw". ver- 
teilte Systeme finden beispielsweise Anwendung in der Auto- 
mobiltechnik, wo zum Beispiel mit SE2 ein Motorsteuergerat 
bzw. eine Motorsteuereinheit 102 mit SE1 eine Getriebesteue- 
rung, also ein Getriebesteuergerat 101 dargestellt sind, 
welche beispielsweise uber ein Datenbussystem, insbesondere 
einen CAN-Bus 100 miteinander verbunden sind. So konnen ge- 
rade im Automobilbereich beliebige Steuereinheiten uber ein 
Datenbussystem 100 oder auch mehrere Datenbussysteme, welche 
uber ein Gateway verkoppelbar sind, miteinander zu einem 
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Netzwerk 108 verbunden werden und mussen gerade im Sicher- 
heitsf all als verteiltes System, iiberwachbar sein. Neben dem 
Automobilbereich ist eine solche Anordnung noch fur weitere 
Technikfelder, wie beispielsweise den Produktionsguter-, 
insbesondere dem Werkzeugmaschinenbereich oder auch bei der 
Vernetzung anderer Systeme, wie Sicherheitssystemen denkbar. 

Der prinzipielle Aufbau der bereits genannten Sicherheits- 
software SIS der einzelnen Steuereinheiten ist in Figur 2 
beschrieben. Dabei wird im weiteren die Sicherheitssof tware 
SIS allgemein als Sicherheitsf unktion SIS bezeichnet, da ei- 
ne Realisierung jenseits von Software, beispielsweise in 
Hardware, also f estverdrahtet oder ahnliches, ebenso wie ei- 
ne gemischte Losung also in Software und f estverdrahtet , 
moglich ist. Dazu sind die Steuereinheiten SE1, SE2 bis SEn 
im Rahmen ihrer Sicherheitsf unktion SIS schematise!! darge- 
stellt. 

In einer ersten Ausfuhrungsf orm ist die Sicherheitsf unktion 
SIS der einzelnen Steuereinheiten prinzipiell gleichartig 
aufgebaut. Die Sicherheitsf unktion SIS untergliedert in die 
Teilfunktionen bzw. Blocke Initialisierung (la, lb, lc) , den 
Sicherheitsfunktionskern, SIS-Kern (2a, 2b, 2c) , den Block 
Uberwachungsprogramme (3a, 3b, 3c) , welcher verschiedene 
Uberwachungsr.outinen enthalt, die Abschaltlogik (4a, 4b, 
4c), die Blocke zur Eintragung des Fehlers in den Fehler- 
speicher (5a, 5b, 5c) sowie zur Wiedergutpriif ung im Fehler- 
fall (6a, 6b, 6c). 

Die Initialisierung (la, lb bzw. lc) richtet sich nach der 
jeweiligen Steuereinheit und wird beispielsweise einmal nach 
Start des Gesamtsystems , bzw. im Automobilbereich nach Ziin- 
dung ein oder wenn eine beispielsweise abgeschaltete Steuer- 
einheit wieder in Betrieb genommen wird, durchgef uhrt . Die 
Blocke der Uberwachungsprogramme (3a, 3b und 3c) sind die 
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jeweiligen Uberwachungsroutinen, die insbesondere pro Ab- 
tastzeitschritt in diskreten, insbesondere digitalen Syste- 
men einmal durchlaufen werden. Dabei ist jedem Fehler eine 
Uberwachungsroutine zugeordnet, d.h. dass jede Oberwachungs- 
routine wenigstens einen Fehler erkennen kann, insbesondere 
kann jede Uberwachungsroutine genau einen Fehler erkennen. 

Werden verschiedene Fehler in Fehlerarten klassif iziert , so 
gilt das Gleiche pro Fehlerart. Die jeweiligen Uberwachungs- 
routinen konnen jeweils auf den verteilten Steuereinheiten 
des verteilten Systems, bzw. des Netzwerks, also in den 
Blocken der Uberwachungsprogramme (3a, 3b und 3c) gleich 
sein oder konnen fur die jeweilige Steuereinheit spezifisch 
in der Zusammensetzung der einzelnen Uberwachungsroutinen 
sein. 

Die Abschaltlogik (4a, 4b, 4c) beinhaltet die programmtech- 
nische Ausflihrung der Abschaltung und richtet sich nach der 
Hardware der Steuereinheit und der Ausflihrung der Abschalt- 
strategien bzw. Abschaltpf ade, die die jeweilige Steuerein- 
heit besitzt. 

Dabei wird vorausgesetzt, dass die fur die jeweiligen Feh- 
leriiberwachungen notwendigen Daten, flags oder Sensorwerte, 
den betreffenden Steuereinheiten zur Verfugung stehen. Au- 
fierdem sollte die gewahlte Abschaltung durch die jeweiligen 
Steuereinheiten sinnvollerweise physikalisch auch moglich 
sein, d.h. die beschriebenen Abschaltpf ade sollten vorhanden 
sein. 

Das bedeutet, dass sinnvollerweise nur solche Abschaltst ra- 
tegien in einer Abschaltmatrix, die der jeweiligen Steuer- 
einheit zugeordnet ist, vorgesehen sind, welche durch die 
jeweilige Steuereinheit aufgrund der vorgegebenen Abschalt- 
pfade auch realisierbar ist, bzw. dass bei Vorgabe von Ab- 
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schaltstrategien das Vorhandensein der notwendigen Abschalt- 
pfade kontrolliert, bzw. die notwendigen Abschaltpf ade ein- 
gerichtet werden. 

Eine- Eintragung des Fehlers in den Fehlerspeicher (5a, 5b, 
5c) erfolgt, wenn aufgrund der Oberwachungsroutinen ein Feh- 
ler erkannt wurde, wobei eine Abschaltung eingeleitet wird 
oder bereits wurde und eingeleitet ist. 

Diese Fehlereintragung ist ebenso wie die Wiedergutpruf ung 
(6a, 6b und 6c) bei den Steuereinheiten 2 bis n optional, 
wenn im Rahraen einer zweiten besonderen Ausfuhrungsf orm, 
beispielsweise Steuereinheit SE1, als koordinierendes Steu- 
ergerat eingesetzt ist. Gibt es, wie in dieser besonderen 
Ausfuhrungsf orm, eine koordinierende Steuereinheit, bei- 
spielsweise SEl, welche die Initialisierung der verschiede- 
nen Steuereinheiten verfolgt, so nimmt diese auch allein den 
Eintrag des Fehlers in den Fehlerspeicher vor und organi- 
siert im Fehlerfall die Wiedergutpruf ung . Dabei richtet sich 
die Initialisierung dann ebenso nach der jeweiligen Steuer- 
einheit und wird auch nach Start des Gesamtsystems , oder 
wenn die koordinierende Steuereinheit eine abgeschaltete 
Steuereinheit wieder in Betrieb nimmt, durchgef iihrt . Die In- 
itialisierung kann dann steuereinheitindividuell ablaufen 
und Initialisierungsschritte, welche das Kommunikationssy- 
stem, also den oder die Datenbusse, und/oder das Gesamtsy- 
stem betreffen sind zentral durch die koordinierende Steuer- 
einheit ausfxihrbar. 

In jedem Fall sind aber die Teilfunktionen SIS-Kern, Uber- 
wachungsprogramme und Abschaltung, bzw. Abschaltstrategien, 
als Teilfunktionen der Sicherheitsfunktion SIS fur alle 
Steuereinheiten des Netzwerks gleich. • 
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Je nach Abschaltart bzw. Abschaltstrategie (spater erlautert 
im Rahmen der Abschaltmatrix) kann eine Wiedergutprtifung er- 
folgen, wenn der Anlafi zum Auslosen des Fehlers nicht mehr 
besteht, was auch im Rahmen der Wiedergutprtifung festge- 
stellt werden kann. War der Ausloser beispielsweise eine er- 
hohte Temperatur oder eine zu niedrige Batteriespannung, er- 
folgt die Wiedergutprtifung beispielsweise, wenn eben diese 
erhohte Temperatur oder die zu niedrige Batteriespannung 
nicht mehr vorliegt. Gleichermassen kann die Wiedergutprti- 
fung nach Ablauf einer vorgebbaren oder variablen Zeit nach 
Fehlererkennung erfolgen. In jedem Fall wird bei Start des 
Gesamtsystems, insbesondere bei jedem . Ztindung ein, bzw. Be- 
tatigung des Startschalters des Fahrzeugs eine Wiedergutprti- 
fung durchgeftihrt, um die fehlerfreie Funktionsweise der 
Steuereinheiten des verteilten Systems nachzuweisen. 

Der SIS-Kern (2a, 2b, 2c) ist ein Programmteil, bzw. eine 
Teilfunktion, welche in alien Steuereinheiten vollig" iden- 
tisch und somit austauschbar ist. Die Funktion des SIS-Kerns 
besteht im wesentlichen darin, dass 'aus der noch zu be- 
schreibenden Abschaltmatrix nach einem weiter unten be- 
schriebenen Algorithmus die Abschaltstrategie gewahlt wird, 
beispielsweise abhangig vom jeweiligen Fehler von der jewei- 
ligen Steuereinheit , von der Betriebsart und/oder vom Be- 
triebszustand. Somit wird der SIS-Kern identisch auf alien 
im Netz befindlichen Steuereinheiten abgearbeitet". Dabei 
sucht dieser SIS-Kern sich aus der vollstandigen (ftir das 
Gesamtsystem, oder beztiglich der Abschaltmatrix zusammenge- 
fasster Teile/Steuereinheiten des Gesamtsystems) oder nur 
der fur die jeweilige Steuereinheit relevanten Abschaltma- 
trix, die im betrachteten Abtastschritt zutreffende Uberwa- 
chungsroutine heraus, stoJit diese an bzw. ftihrt diese durch. 

Im Fehlerfall wird durch den SIS-Kern mit Hilfe der Ab- 
schaltmatrix, insbesondere die nach Betriebszustand, Be- 
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.triebsart Oder Steuereinheit abhangige Abschaltart, bzw. Ab- 
schaltstrategie, dif f erenziert ausgewahlt und angestoflen 
bzw. durchgefuhrt. 

Die Uberwachungen konnen somit verteilt durchgefuhrt werden,- 
d.h. teilweise Oder vollig redundant Oder lokal. in einem 
vollig anderen Steuergerat ablaufen. D.h. nicht nur das 
Steuergerat, welches den Fehler erkennt, sondern auch die 
anderen im Netz befindlichen Steuergerate konnen eine Ab- 
schaltung gemafi ihrer Moglichkeiten (Abschaltpf ade, Ab- 
schaltstrategien) durchf uhren . 

Um die Funktion des SIS-Kerns genauer beschreiben zu konnen, 
ist es notwendig, den prinzipiellen Aufbau der Abschaltma- 
trix zu erlautern, wie dies in Figur 2 dargestellt ist. Die 
Abschaltmatrix in Figur 2 besteht aus verschiedenen Spalten. 
Jede Zeile ist fur einen speziellen Fehler zustandig. In der 
ersten Spalte 10 ist die Fehlernummer des jeweiligen Feh- 
lers f bzw. dessen Fehlerkennung, abgespeichert . In der Spal- 
te 12 ist eine Kurzbeschreibung des jeweiligen Fehlers, etwa 
fur Fehlerauf schrif ten oder ahnliches, abgelegt. Beispiel- 
haft ist hier wieder die zu kleine Batteriespannung oder die 
zu grofte Temperatur gewahlt. In der Spalte. 11 sind die Be- 
triebszustande binar kodiert, in denen die jeweiligen Uber- 
wachungen durchgefuhrt werden sollen. Ein Betiriebszustand 
kann dabei zum Beispiel Initialisierung der Steuereinheit, 
der Normalbetrieb bei Fahrt, Normalbetrieb im Stillstand des 
Fahrzeugs, aktiv oder passiv, und so weiter sein. 

Die jeweilige Uberwachung wird im jeweiligen Betriebszustand 
durchgefuhrt, wenn an der entsprechenden Stelle beispiels- 
weise eine Eins („l w ) anstatt einer Null (,,.0") steht, also 
die entsprechende Stelle irgendwie markiert bzw. gekenn- 
zeichnet ist. In der Spalte 13 sind die Steuereinheiten, 
insbesondere ebenfalls binar, kodiert, in denen die Uberwa- 
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chungsroutinen zum jeweiligen Fehler ablaufen sollen. Wenn 
an der entsprechenden Stelle wieder beispielsweise Eins an- 
statt einer Null steht, dann wird in dem. jeweiligen Steuer- 
gerat, bzw. der Steuereinheit, die zum Fehler .gehorende 
Uberwachungsroutine ausgefuhrt. 

In den Spalten 14 und 15 sind m Erkennungszeiten Tl bis Tm 
und n Grenzen Gl bis Gn mit m,n > 1 beliebig, aber fest, fur 
die Fehlererkennung der Fehler abgelegt. Diese speziellen 
Matrixelemente konnen ausgefullt sein, miissen es aber nicht. 
Bei umfangreichen Algorithmen ist es selbstverstandlich, 
dass die jeweiligen Zeiten, Grenzen und Faktoren der Uberwa- 
chung in der Uberwachungsroutine selbst untergebracht sind, 
bzw. von dieser selbst aufgerufen werden. 

In der letzten Spalte 17 sind die Abschaltarten der einzel- 
nen Fehler abhangig von der Funktion, bzw. vom gerade akti- 
ven Prozess, eingetragen. Dabei ist beispielsweise ein Un- 
terschied denkbar, ob gerade beispielsweise" ABS aktiv ist 
Oder beispielsweise ABS und ASR und ESP oder auch ein akti- 
ver Lenkeingriff durchgefiihrt wird sowie eine variable 
Lenkiibersetzung standig aktiv ist. Gleiches gilt im Rahmen 
der Motorsteuerung, Getriebesteuerung oder anderer, insbe- 
sondere f ahrzeugspezif ischer Funktionen. 

Je nach Vorliegender Betriebsart/Funktion oder auch Kombina- 
tion der Funktionen/Betriebsarten wird bei gleichem Fehler 
(hier gleiche Zeile in der Abschaltmatrix) unter Umstanden 
eine andere Abschaltung durchgefiihrt, also eine andere Ab- 
schaltstrategie gefahren. Die Matrixelemente der Abschaltma- 
trix, die in Figur 2 in Spalte 17 bzw. 19 mit Al, A2, A3 und 
A4, bzw. A5 und A6, bezeichnet sind, bestimmen die Abschalt- 
strategie Spalte 19,- bzw. Abschaltart, deshalb wurde dies 
eingangs als dif ferenzierte Abschaltung bezeichnet. Als Bei- 
spiel fur verschiedene Abschaltstrategien werden nun ge- 



- 13 - 



R. 4005 



nannt: Sof ortabschaltung, ■ Abschaltung nach Regelungsende, 
Abschaltung bei Fahrzeugstillstand, Abschaltung aber Wiede- 
rinbetriebnahme wenn die Abschaltbedingungen nicht mehr vor- 
liegen, Abschaltung einzelner Steuereinheiten oder des ge- 
samten Netzwerks und so weiter. - 

Dabei kann wie erwahnt mittels Block 18 auch eine Kombinati- 
on verschiedener Funktibnen/Betriebsarten ausgewertet und zu 
einer bestiminten Abschaltstrategie verknlipft werden, wie ge- 
strichelt angedeutet, wobei Block 18 optional ist und bei 
fehlendem Block 18 eine eins zu eins Zuordnung der Funktio- 
nen/Betriebsarten zu den Abschaltstrategien abhangig vom 
Fehler erfolgt* 

Der SIS-Kern (2a, 2b, 2c) hat die Aufgabe, in jedem Abtast- 
schritt fur die jeweilige betroffene Steuereinheit die ab- 
hangig von den Spalten 11 und 13 zutreffende Oberwachungs- 
routinen aufzurufen. Die Gesamtheit, also die Mehrzahl der 
in der jeweiligen Steuereinheit zur Verfugung stehenden 
Uberwachungsroutinen, ist mit Uberwachungsprogrammen, also 
2a, 2b, 2c bezeichnet. Diese Routinen konnen einerseits in- 
dividuell unterschiedlich oder gleich in jeder Steuereinheit 
als Mehrzahl der Uberwachungsroutinen vorliegen oder auch 
zentral in einem zentralen Speicherelement als Mehrzahl al- 
ler Uberwachungsroutinen abgelegt sein. Dabei konnen den 
Uberwachungsroutinen die notwehdigen Angaben, insbesondere 
aus Spalte 14 und 15, mit libergeben werden. 

Im Falle eines Fehlers, der durch die Uberwachungsroutine (n) 
festgestellt wird, wird abhangig von Spalte 10 und Spalte 17 
bzw. 19 die definierte Mafinahme zur Fehlerbehandlung, also 
Abschaltung, von 4a, 4b, 4c ausgewahlt und eingeleitet. Der 
SIS-Kern ist auf alien Steuereinheiten identisch. Die Ab- 
schaltmatrix kann in alien Steuereinheiten identisch sein, 
es gemigt jedoch die fiir die jeweilige Steuereinheit rele- 
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vanten Teile in der jeweiligen Steuereinheit selbst abzubil- 
den gemaJi Spalte 13. Uberwachungen konnen, abhangig von 
Spalte 13, auch doppelt, also redundant, auf verschiedenen 
Steuereinheiten ablaufen. 

Wenn es ein koordinierendes Steuergerat, eine koordinierende 
Steuereinheit gibt, wie vorab genannt, beispielsweise SE1, 
wird bei Fehlerentdeckung durch zum Beispiel Steuereinheit 
SE 2 die Fehlernummer gemaft Spalte 10 an Steuereinheit 1 SE1 
weitergegeben und Steuereinheit SE2 und/oder SE1 schaltet 
geinaft Spalte 17 bzw. 19, also den dort vorgegebenen Ab- 
schaltstrategien, ab . 

Dabei kann liber den Block 18 wie beschrieben auch eine Ver- 
kniipfung einzelner Funktionen mit daraus resultierender Ab- 
schaltstrategie in 19 erfolgen. 

Dabei konnen aus Sicherheitsgrunden die Abschaltpf ade ver- 
schieden sein. 

Steuereinheit 1 SE1 nimmt den Eintrag in den Fehlerspeicher 
vor und organisiert die Wiederinbetriebnahme der Steuerein- 
heit SE2 und/oder des Gesamt systems . 

Gibt es keine koordinierende Steuereinheit, werden die Feh- 
rernummern, bzw. Fehlerkennungen nicht ausgetauscht und jede 
Steuereinheit schaltet gemafi . Spalte 17 bzw. der vorgegebenen 
Abschaltstrategien 19 ab, und niirant den Eintrag in den Feh- 
lerspeicher und die Wiederinbetriebnahme, bzw. Wiedergutpru- 
fung, selbst vor, im Zweifelsfall erst wieder beim Start des 
Gesamtsystems, insbesondere bei Zundung ein. 

Das in der Beschreibung geschilderte Verfahren ist dabei als 
Programm oder Progr.ammprodukt auf einem Datentrager, wie 
ROM, insbesondere CD-ROM, EPROM, Diskette, Flash-EPROM, RAM, 
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usw. abspeicherbar und Einbringen und Auslesen auf einer 
Steuereinheit ausfiihrbar. Dabei werden dann Schritte des 
Verfahrens gemaft der Beschreibung in der Steuereinheit bzw. 
dem verteilten System ausgefuhrt, weshalb auch dieses Pro- 
gramm oder .Programmprodukt durch welches das erf indungsgema- 
fie Verfahren ausgefuhrt wird Gegenstand der Erfindung ist. 
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20.12.00 Sy/Hx 

.ROBERT BOSCH GMBH, 70442 Stuttgart 



Anspruche 

1. Verfahren zur Uberwachung von Steuereinheiten in ei- 
nem Netzwerk, wobei jede Steuereinheit eine Sicherheitsfunk- 
tion zur Erkennung von Fehlern beinhaltet, wobei jedem Feh- 
ler eine Uberwachungs routine zugeordnet ist und eine Mehr- 
zahl von Uberwachungsroutinen zur Verfiigung stent, wobei der 
Sicherheitsfunktion eine Abschaltmatrix zugeordnet ist, wel- 
che nach Fehlern unterteilt ist, wobei entsprechend der vor- 
handenen Fehler der Abschaltmatrix wenigstens eine der Uber- 
wachungsroutinen abhangig von wenigstens einer ersten Bedin- 
gung aus der Mehrzahl von Uberwachungsroutinen gewahlt wird, 
wobei die Abschaltmatrix verschiedene Abschaltstrategien 
enthalt und dass bei Erkennung wenigstens eines Fehlers 
durch die Uberwachungs routine abhangig von wenigstens der 
ersten und/oder wenigstens einer zweiten Bedingung eine der 
Abschaltstrategien im Netzwerk ausgefuhrt wird, wobei wenig- 
stens eine Steuereinheit im Netzwerk abgeschaltet wird. 

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet , 
dass als erste und/oder zweite Bedingung wenigstens eine der 
folgenden ausgewertet wird: 

- Fehl erkennung (10) 

- Fehlerbeschreibung (12) 
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- Betriebsart (17) 

- Betriebszustarid (11) 

- Steuereinheit fur Abschaltstrategie (19) 

- Steuereinheit fur Ub e rwa c hung s routine (13) 

- Fehlererkennungszeiten/Erkennungszeiten (14) 

- Anwendungstoleranzen oder Grenzen (15) 

3. Verfahren nach Anspruch 1, dadurch gekennzeichnet , 
dass die Sicherheitsfunktion sich wenigstens in die Teil- 
funktionen Sicherheitskern, Uberwachungsroutinen und Ab- 
schaltstrategien unterteilt, wobei der Sicherheitskern auf 
alien Steuereinheiten des Netzwerkes gleich ist. 

4. Verfahren nach Anspruch 3, dadurch gekennzeichnet, 
dass weiterhin wenigstens eine der folgenden Teilfunktionen 
in der Sicherheitsfunktion enthalten ist: 

- Initialisierung 

- Fehlereintragung 

- Wiedergutprufung 

5. Verfahren nach Anspruch 1, dadurch gekennzeichnet, 
das eine Steuereinheit des Netzwerkes koordinierende Funkti- 
on fur alle anderen Steuereinheiten hat bezuglich wenigstens 
einer der folgenden, in der Sicherheitsfunktion dieser einen 
Steuereinheit enthaltenen Teilfunktionen: 

- Initialisierung 

- Fehlereintragung 

- Wiedergutprufung 

6. Verfahren nach Anspruch 1, dadurch gekennzeichnet, 
dass die Uberwachungsroutinen, die von jeder Steuereinheit 
wahlbar sind entsprechend der jeweils erkennbaren Fehler, 
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sowie die jeweiligen Abschaltmatrizen der Steuereinheiten 
fur jede Steuereinheit unterschiedlich sind und damit die 
Uberwachung und die Abschaltstrategien verteilt auf alle 
Steuereinheiten des Netzwerkes durchgefiihrt werden. 

7. Verfahren nach Anspruch 1, dadurch gekennzeichnet , 
dass die Uberwachungsroutinen, die von. jeder Steuereinheit 
wahlbar sind entsprechend der jeweils erkenhbaren Fehler so- 
wie die jeweiligen Abschaltmatrizen der Steuereinheiten fur 
jede Steuereinheit gleich oder teilweise gleich sind und da- 
mit die Uberwachung und die Abschaltstrategien redundant 
oder teilweise redundant durchfuhrbar sind. 

8. Vorrichtung zur Uberwachung von Steuereinheiten in 
einem Netzwerk, wobei Mittel mit Sicherheitsfunktion in je- 
der Steuereinheit zur Erkennung von Fehlern enthalten sind, 
wobei jedem Fehler eine Uberwachungsroutine zugeordnet ist, 
wobei eine Mehrzahl von Uberwachungsroutinen zur Verfugung 
steht und den Mitteln mit Sicherheitsfunktion eine Abschalt- 
matrix zugeordnet ist, welche nach Fehlern unterteilt ist, 
wobei weitere Mittel enthalten sind, welche entsprechend der 
vorhandenen Fehler in der Abschaltmatrix wenigstens eine der 
Uberwachungsroutinen abhangig von wenigstens einer ersten 
Bedingung aus der Mehrzahl von Uberwachungsroutinen auswah- 
len, wobei die Abschaltmatrix weiterhin vers chiedene Ab- 
schaltstrategien enthalt und dass die weiteren Mittel bei 
Erkennung wenigstens eines Fehlers durch die ausgewahlte 
Uberwachungsroutine abhangig von wenigstens der ersten 
und/oder wenigstens einer zweiten Bedingung eine der Ab- 
schaltstrategien im Netzwerk ausfuhren, wobei wenigstens ei- 
ne Steuereinheit im Netzwerk abgeschaltet wird. 
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9. Netzwerk mit mehreren Steuereinheiten, wobei jede 
Steuereinheit Mittel mit Sicherheitsfunktion zur Erkennung 
von Fehlern beinhaltet, wobei jedem Fehler eine Uberwa- 
chungsroutine zugeordnet ist, wobei eine Mehrzahl von Uber- 
wachungsroutinen zur Verfugung steht und den Mitteln mit Si- 
cherheitsfunktion eine Abschaltmatrix zugeordnet ist, welche 
nach Fehlern unterteilt ist, wobei weitere Mittel enthalten 
sind, welche entsprechend der vorhandenen Fehler in der Ab- 
schaltmatrix wenigstens eine der Uberwachungsroutinen abhan- 
gig von wenigstens einer ersten Bedingung aus der Mehrzahl 
von Uberwachungsroutinen auswahlen, wobei die Abschaltma- 
trix weiterhin verschiedene Abschaltstrategien enthalt und 
dass die weiteren Mittel bei Erkennung wenigstens eines Feh- 
lers durch die ausgewahlte Uberwachungs routine abhangig von 
wenigstens der ersten und/oder wenigstens einer zweiten Be- 
dingung eine der Abschaltstrategien im Netzwerk ausfuhren, 
wobei wenigstens eine Steuereinheit im Netzwerk abgeschaltet 
wird. 

10. Programm Oder Programmprodukt , welches ausgefuhrt 
durch wenigstens eine Steuereinheit eines Netzwerkes ein 
Verf ahren nach einem der Anspriiche 1 bis 7 durchf uhrt • 
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20.12.00 Sy/Hx 

ROBERT BOSCH GMBH, 70442 Stuttgart 



Verfahren und Vorrichtung zur Uberwachung und Abschaltung 
von Steuereinheiten in einem Netzwerk und Netzwerk 

Zusammenf assung 

Verfahren zur Uberwachung von Steuereinheiten in einem Netz- 
werk, wobei jede Steuereinheit eine Sicherheitsfunktion zur 
Erkennung von Fehlern beinhaltet, wobei jedem Fehler eine 
Uberwachungsroutine zugeordnet ist und eine Mehrzahl von 

. Uberwachungsroutinen zur Verfugung stent, wobei der Sicher- 
heitsfunktion eine Abschaltmatrix zugeordnet ist, welche 
nach Fehlern unterteilt ist, wobei entsprechend der vorhan- 
denen Fehler der Abschaltmatrix wenigstens eine der Uberwa- 
chungsroutinen abhangig von wenigstens einer ersten Bedin- 
gung aus der Mehrzahl von Uberwachungsroutinen gewahlt wird, 
wobei die Abschaltmatrix verschiedene Abschaltstrategien 

. enthalt und dass bei Erkennung wenigstens eines Fehlers 
durch die Uberwachungsroutine abhangig von wenigstens der 
ersten und/oder wenigstens einer zweiten Bedingung eine der 
Abschaltstrategien im Netzwerk ausgefiihrt wird, wobei wenig- 
stens eine Steuereinheit im Netzwerk abgeschaltet wird. 



(Figur 3) 
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